Українською | English

BACKMAIN


УДК:336.719.2 (078.3)

 

М. Ю. Богославський,

здобувач Національної академії управління

 

РАНЖУВАННЯ ІНФОРМАЦІЙНИХ ЗАГРОЗ БАНКУ У ВІДПОВІДНОСТІ ДО ЙОГО ТЕХНОЛОГІЧНИХ ПРОЦЕСІВ

 

N. Y. Boguslavskij,

applicant National Academy of Management

 

BASES AND PECULIARITIES OF FINANCIAL SECURITY OF COMMERCIAL BANKS ON THE DOMESTIC MARKET

 

В рамках даної статті створено методику ранжування фінансової загрози банку в інформаційному полі відповідно до комплексу заходів процесу забезпечення його фінансової безпеки. Запропоновано поняття трекінгу кіберзагроз як похідного елементу ранжування повноважень та заходів протидії в рамках забезпечення цілей інформаційної безпеки банку.

 

This article researches methods of the bank financial threat`s ranking in the information field in accordance with the complex of measures in order to provide bank financial security, indicating the varieties of application and functional circles. It was proposed the cyber threats tracking concept as a power ranking derivative element and countermeasures in case of providing the bank information security purposes.

 

Ключові слова: трекінг, ранжування загроз, інформаційна безпека, ресурси інформаційних загроз банку, ідентифікації загроз.

 

Keywords: tracking, ranking of threats, information security, resources of information bank threats, identification of threat.

 

 

Постановка проблеми у загальному вигляді та її зв'язок із важливими науковими чи практичними завданнями.Важливу роль у забезпеченні протидії та виявленню слабких місць у інформаційному середовищі банків відіграє ранжування інформаційних загроз та механізмів їх протидії. Застосування нових інструментів та модифікація ознак загальноприйнятих методів ідентифікації загроз та заходив протидії кіберзагрозам банку потребують подальшого удосконалення.

Аналіз останніх досліджень і публікацій. До базових напрацювань науковців  у сфері інформаційної безпеки банків належать дослідження таких вчених як: Р. Вовченко, К. Фрумкін, Ф. М. Аволио, А. Володин, В. Задірака, А. Корченко, А. Румянцев, А. Смирнов, Н. Романов та інші. Проте, потребують подальшого аналізу методики нівелізації інформаційних загроз банків та способи протидії ним з метою убезпечення технічного середовища фінансово-кредитних установ.

Метою статті є проведення ґрунтовної характеристики процесу ранжування інформаційних загроз банку та елементів протидії ним при кібератаках.

Виклад основного матеріалу. Початок процесу ранжування за ступенем загроз інформаційної безпеки банку супроводжується математичним апаратом, що впорядковує біхевіористичні характеристики суб’єктів  даного взаємозв’язку. Сформуємо варіацію рівнів та класифікаторних характеристик безпеки комерційного банку у відповідності світових стандартів. Представимо її у математичній площині вбудованих функцій, яку нормалізуємо у загальному рейтинговому співвідношенні інформаційних  загроз банку [4, с. 81].

 

Таблиця 1.

Ранжування загроз інформаційної безпеки банку

Втрата інформації

По фізичним особам

По юридичним особам

розповсюдженість

65,6 %

34,4 %

засоби захисту від зловмисного коду (програмні та/або програмно-апаратні) мають забезпечувати перевірку

автономні програмні (програмно-апаратні) засоби, що реалізують функції автентифікації та шифрування даних;

програмні засоби ЕЦП, шифрування та імітозахисту даних, які працюють під керуванням програмних засобів автоматизованих систем банку;

централізоване управління захистом від зловмисного коду

таємні ключі, записані на дозволені в банку до застосування носії інформації

авторизація даних (формування електронного цифрового підпису з метою запобігання модифікації та підробки даних)

антивірусне програмне забезпечення повинно перевіряти змінні носії інформації перед використанням їх у банку та виконувати безперервність забезпечення захисту

випадки ураження інформаційних систем банку зловмисним кодом фіксуються в системі та обробляються відповідно до встановленого порядку

автоматичне повідомлення відображається шляхом занесення відповідного запису системою в журнал монітору роботи та доступне через централізований монітор адміністрування

відповідальні особи за контроль належного функціонування та періодичністю оновлення антивірусних засобів

криптографічне перетворення інформації (шифрування), що передається каналами зв'язку

автентифікація  підписувачів, технічних засобів і  повідомлень, що беруть участь  в  обміні даними

Складено автором на основі [9]

 

Трекінг інформаційних загроз впорядковує процеси входження ризикового середовища в операційну систему комерційних банків шляхом відслідковування вектору направленості та цільового сегменту. Трекінг розподіляється на зовнішній (на базі превентивних принципів убезпечення загрози банку) та внутрішньо-пасивний (передбачає моніторинг за загрозою, яка вже проникла до операційної системи банку та поки що не завдала шкоди). Трекінгові підходи є складовими процесу ранжування загроз та споріднюють заходи протидії кібератакам на всіх рівнях [1, с. 93]. Функція короткого трекінгу має вигляд аналізу загрози на вході до мережі банку, яка здійснює коливаючі перешкоди несистемного характеру та влаштовує взаємодію складових безперервності циклу банку. Функція довгого трекінгу має інші властивості та включає поглиблену перевірку загрозливих процесів та хронологічних інструментів хеджування ризиків інформаційно-технічного середовища [5, с. 208]. Встановимо ранжування вимог та технічних процесів, задіяних в реалізації заходів інформаційної безпеки банку [10, с. 163]: організація інформаційної безпеки та координування підрозділів; управління ризиками інформаційної безпеки; безпека кадрових ресурсів та їх вплив на цілісність інформаційної системи та плинність кадрів фронт-офісу із втратою кадрів; управління комунікаціями та методикою обробки інформації; контроль доступу користувачів; придбання, розробка і використання інформаційних систем; управління інцидентами інформаційної безпеки; управління безперервністю бізнесу; відповідність правовим вимогам, політикам та стандартам безпеки і технічна відповідність. Перелік внутрішніх документів комерційного банку регламентує рівні відповідності компетенцій та ранжування заходів з хеджування загроз. Встановимо важливість цілей інформаційної безпеки банку при ранжуванні складових характеристик кіберзагроз в таблиці 2.

Важливо відмітити, що інформаційна безпека банку,  у першу чергу, є людським ресурсом. Незважаючи на те, що багато навчальних закладів здійснюють підготовку спеціалістів за різноманітними ІТ-спеціальностями, варто позначити, що кваліфікованість даних фахівців багато в чому є незадовільною [8, с. 47].

 

Таблиця 2.

Особливості фінансового захисту банку

Цілі та ознаки фінансового захисту банку

Характеристика імплементації

конфіденційності: використання шифрування інформації для захисту конфіденційної або критичної інформації, як збереженої, так ї тієї, що передається;

Є передумовою будь-якого процесу вторгнення в банк, так як на ній базуються плани розвитку несанкціонованих подій. Від даного процесу залежить до 60 % захищеності інформаційної безпеки банку

цілісності/автентичності: використання цифрових підписів або кодів автентифікації повідомлення для захисту автентичності та цілісності збереженої або тієї, що передається, конфіденційної або критичної інформації

Захист доступу та послідовності обробки інформації в рамках бізнес процесів. Від даного процесу залежить до 35 % захищеності інформаційної безпеки банку

неспростовності: використання криптографічних методів для отримання доказів виникнення або не виникнення ризикової події в рамкахопераційного поля

 

Втручання та поєднання похідних інструментів може впливати на сукупний обсяг проблемних операцій. Від даного процесу залежить до 20 % захищеності інформаційної безпеки банку

Складено автором на основі [3, с. 211]

 

Під час аналізу інформаційного захисту комерційних структур було виявлено, що найбільшу роль у ранжуванні функціоналу підрозділів забезпечення інформаційної безпеки банків становлять контентні установи з сек’юритизації, які створюють продукти, що в змозі попереджати інформаційні загрози. Саме ці організації все частіше попереджують про масштабні інформаційні загрози банківських систем [6, с. 92].

Щороку збільшуються випадки інформаційних загроз комерційних банків у зв’язку з чим втрачаються платіжні документи клієнтів. Саме це стало причиною формування спеціалізованих підрозділів забезпечення захисту інформаційної системи банків від її потенційних загроз. IT підрозділи комерційних банків забезпечують криптографічний захист інформації (КЗІ) та потребують впорядкування і ранжування існуючих заходів протидії кіберзагрозам (рис. 1).

 

Рис. 1. Пріоритетні обов’язки IT-підрозділів банку [2]

 

Для забезпечення належної інформаційної безпеки банків від загроз і здійснення моніторингу потенційних загроз банківського інформаційного середовища було введено Державну службу спеціального зв’язку та захисту інформації. Дана служба має такі профільні завдання як:

– забезпечення реалізації державної політики щодо захисту державних інформаційних систем та захисту фінансової інформації банків, а також  використання новітніх способів шифрування інформації клієнтів;

– прийняття активної участі у створенні державної політики у сфері електронного документообігу банківських установ;

– забезпечення систематичних модернізацій обладнання для захисту інформаційних даних банків;

– реалізація моніторингових процесів за становищем криптографічного та технічного захисту фінансової інформації, забезпечення протидії використання клієнтами не ліцензійних програм для здійснення транзакцій;

– розроблення інноваційних способів удосконалення зв’язку між клієнтами та банком та створення обладнання, що попереджає небезпечні для банку ситуації [1, с. 95].

Зазначимо, що великий обсяг роботи у забезпеченні інформаційної безпеки банку виконують складові процесу кіберзагроз та їх ранжування як на зовнішньому, так і на внутрішньому рівнях [7, с. 69].

Висновки. Поняття трекінгу інформаційних загроз банку впорядковує процеси входження ризикового середовища в операційну систему комерційних банків шляхом відслідковування вектору направленості та цільового сегменту. Встановлено пріоритетні обов’язки інформаційних підрозділів банку в залежності від ранжування етапів згідно заходів протидії загрозам відповідно функціоналу структурного підрозділу. Обґрунтовано необхідність модифікованого переліку цілей інформаційної безпеки банку при ранжуванні складових характеристик кіберзагроз.

 

Література.

1. Аволио Ф.М. Защита информации на предприятии / Ф.М. Аволио, Г. Шипли // Сети и системы связи. – 2000. − № 8. – С. 91−99.

2. Бази даних урядового порталу Державного комітету Статистики України.  Режим доступу: http://ukrstat.gov.ua/

3. Вовченко Р. Проблеми формування системи фінансової безпеки банківського сектору економіки України / Р.Вовченко // Теоретичні та прикладні аспекти аналізу фінансових систем: збірник тез ХІІІ Міжнародної науково-практичної конференції аспірантів і студентів (26-27 березня 2013 року). – Львів: ЛІБС УБС НБУ, 2013. – С.210–212.

4. Володин А. Как бороться с киберпреступниками / А. Володин // Аналитический банковский журнал. – 2010. –  № 5 (179).

5. Задірака В.К. Методи захисту банківської інформації. / В.К. Задірака, О.С. Олесюк, Н.О. Недашковський. – К.: Вища школа, 1999. – 264 c

6. Корченко А.О. Банківська безпека / А.О. Корченко, Л.М. Скачек, В.О. Хорошко; за загальним ред. д.т.н. проф. В.О. Хорошка. – К: ПВП “Задруга”, 2014. – 185 с.

7. Романов Н. Средства защиты от атак кибер-преступников по каналам ДБО / Н. Романов // Аналитический банковский журнал. – 2010. –  № 5 (179).

8. Румянцев А. Операционный риск-менеджмент в банках / А. Румянцев // Финансовый директор. – 2006. –  №2.

9. Фрумкін К. Шахрайство та злочини у банківській сфері / [Електронний ресурс] – Режим доступу: http: //www.ufin.com.ua/analit_mat/gkr/150.htm

10. Смирнов А. Операционные риски и ИТ-инфраструктура банка / А. Смирнов // Корпоративные системы. – 2008. –  № 1.

 

References.

1. Avolio, F.M. and Shipli, G. (2000), "Protection of information in the enterprise", Seti i sistemy svjazi, vol. 8, pp. 91−99.

2. State Statistics Service of Ukraine, Databases of the Government portal of the State Committee of Statistics of Ukraine, available at: http://ukrstat.gov.ua/

3. Vovchenko, R. (2013), "Problems of the formation of the financial security system of the banking sector of the economy of Ukraine", Collection of theses of the thirteenth International Scientific and Practical Conference of postgraduates and students (March 26-27, 2013) "Theoretical and applied aspects of the analysis of financial systems", LIBS UBS NBU, Lviv, pp.210–212.

4. Volodin, A. (2010), "How to deal with cybercriminals", Analiticheskij bankovskij zhurnal, vol. 5 (179).

5. Zadiraka, V.K. Olesiuk, O.S. and Nedashkovskyi, N.O. (1999), Metody zakhystu bankivskoi informatsii [Methods of protecting bank information], Vyshcha shkola, Kyiv, Ukraine, p. 264.

6. Korchenko, A.O. Skachek, L.M. and Khoroshko, V.O. (2014), Bankivska bezpeka [Banking Security], PVP “Zadruha”, Kyiv, Ukraine, p. 185.

7. Romanov, N. (2010), "Means of protection against attacks of cyber-criminals through the RBD channels", Analiticheskij bankovskij zhurnal, vol. 5 (179).

8. Rumjancev, A. (2006), "Operational risk management in banks", Finansovyj direktor, vol. 2.

9. Frumkin, K. "Fraud and crime in banking", [Online], available at: http: //www.ufin.com.ua/analit_mat/gkr/150.htm

10. Smirnov, A. (2008), "Operational risks and IT infrastructure of the bank", Korporativnye sistemy, vol. 1.

 

 Стаття надійшла до редакції 20.09.2016 р.

 

bigmir)net TOP 100

ТОВ "ДКС Центр"